- #SkladchinaVip
- #1
[No Starch Press] Взлом API. Часть 1
Описание:
В этой книге вы узнаете, как тестировать Web APIs на наличие уязвимостей. Вы познакомитесь с тем, как работают распространенные типы API, такие как REST, SOAP и GraphQL. Далее вы настроите оптимизированную лабораторию для тестирования API и выполните типовые атаки, например, проверку механизмов аутентификации API и проверку на наличие уязвимостей внедрения, которые часто обнаруживаются в веб-приложениях. На примере рассматриваемых в книге лабораторий, которые будут содержать преднамеренно уязвимые API, вы научитесь:
Содержание книги:
Часть 1: Как устроена безопасность Web APIs
Подготовка к тестированию безопасности
Как работают веб-приложения
Анатомия Web APIs
Типовые уязвимости API
Часть 2: Сборка лаборатории для тестирования API
Ваша система для взлома API
Настройка уязвимых целевых API
Часть 3: Атаки на API
Обнаружение
Анализ конечных точек
Атака на аутентификацию
Фаззинг
Эксплуатация авторизации
Массовое присвоение
Внедрение
Часть 4: Взлом API на практике
Применение техник обхода средств защиты и тестирование ограничений скорости
Атаки на GraphQL
Уязвимости данных и программы Bug Bounty
В этой книге вы узнаете, как тестировать Web APIs на наличие уязвимостей. Вы познакомитесь с тем, как работают распространенные типы API, такие как REST, SOAP и GraphQL. Далее вы настроите оптимизированную лабораторию для тестирования API и выполните типовые атаки, например, проверку механизмов аутентификации API и проверку на наличие уязвимостей внедрения, которые часто обнаруживаются в веб-приложениях. На примере рассматриваемых в книге лабораторий, которые будут содержать преднамеренно уязвимые API, вы научитесь:
- Перечислять пользователей и конечные точки API посредством техник фаззинга
- Использовать Postman для обнаружения уязвимости данных
- Выполнять атаку на процесс аутентификации API с использованием JSON Web Token
- Комбинировать различные техники атаки на API в целях выполнения NoSQL-инъекций
- Атаковать GraphQL API для обнаружения уязвимостей, связанных с недостатками контроля доступа к объектам
Содержание книги:
Часть 1: Как устроена безопасность Web APIs
Подготовка к тестированию безопасности
Как работают веб-приложения
Анатомия Web APIs
Типовые уязвимости API
Часть 2: Сборка лаборатории для тестирования API
Ваша система для взлома API
Настройка уязвимых целевых API
Часть 3: Атаки на API
Обнаружение
Анализ конечных точек
Атака на аутентификацию
Фаззинг
Эксплуатация авторизации
Массовое присвоение
Внедрение
Часть 4: Взлом API на практике
Применение техник обхода средств защиты и тестирование ограничений скорости
Атаки на GraphQL
Уязвимости данных и программы Bug Bounty
Показать больше